Ejemplo: Conexión de un servidor RADIUS para 802.1X a un enrutador serie MX
802.1X es el estándar IEEE para el control de acceso de red basado en puertos (PNAC). Utilice 802.1X para controlar el acceso a la red. Solo se permite el acceso a la red a los usuarios y dispositivos que proporcionan credenciales que se han verificado con una base de datos de usuarios. A partir de Junos OS versión 14.2, puede usar un servidor RADIUS como base de datos de usuario para la autenticación 802.1X, así como para la autenticación MAC RADIUS.
En este ejemplo, se describe cómo conectar un servidor RADIUS a un enrutador de la serie MX y configurarlo para 802.1X:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 14.2 o posterior para enrutadores MX240, MX480 o MX960 que se ejecutan en modo LAN mejorado y Junos OS versión 14.2R3 para todos los demás enrutadores.
Un enrutador que actúa como entidad de acceso a puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como la base de datos de backend y contiene información de credenciales para hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de conectar el servidor al enrutador, asegúrese de que tiene lo siguiente:
Configurado el modo LAN mejorado en el enrutador.
Realizó puentes básicos y configuración de VLAN en el enrutador.
Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
El enrutador de la serie MX actúa como entidad de acceso de puerto (PAE) autenticador. Bloquea todo el tráfico y actúa como una puerta de control hasta que el servidor autentica el suplicante (cliente). A todos los demás usuarios y dispositivos se les niega el acceso.
Considere un enrutador de la serie MX que funcione como un puerto de autenticación. Se conecta mediante la interfaz ge-0/0/10 a través de la red IP a un servidor RADIUS. El enrutador también está vinculado a una sala de conferencias mediante la interfaz, ge-0/0/1, a una impresora que usa la interfaz, ge-0/0/20, a un concentrador que usa la interfaz, ge-0/0/8, y a dos suplicantes o clientes a través de interfaces, ge-0/0/2 y ge-0/0/9 respectivamente.
| Propiedad | Configuración |
|---|---|
Hardware del enrutador |
enrutador serie MX |
Nombre de VLAN |
default |
Un servidor RADIUS |
Base de datos de backend con una dirección de 10.0.0.100 conexión al conmutador en el puerto ge-0/0/10 |
En este ejemplo, conecte el servidor RADIUS para acceder al puerto ge-0/0/10 del enrutador de la serie MX. El conmutador actúa como autenticador y reenvía credenciales desde el suplicante a la base de datos de usuarios en el servidor RADIUS. Debe configurar la conectividad entre el enrutador de la serie MX y el servidor RADIUS especificando la dirección del servidor y configurando la contraseña secreta. Esta información se configura en un perfil de acceso en el conmutador.
Configuración
Procedimiento
Configuración rápida de CLI
Para conectar rápidamente el servidor RADIUS al conmutador, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Procedimiento paso a paso
Para conectar el servidor RADIUS al conmutador:
Defina la dirección de los servidores y configure la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor:
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
Configure el orden de autenticación, haciendo radius el primer método de autenticación:
[edit] user@switch# set access profile profile1 authentication-order radius
Configure una lista de direcciones IP de servidor que se probarán para autenticar al suplicante:
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Resultados
Mostrar los resultados de la configuración:
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$9$qPT3ApBSrv69rvWLVb.P5"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verifique que el conmutador y el servidor RADIUS estén correctamente conectados
Propósito
Compruebe que el servidor RADIUS está conectado al conmutador en el puerto especificado.
Acción
Ping al servidor RADIUS para comprobar la conexión entre el conmutador y el servidor:
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 msSignificado
Los paquetes de solicitud de eco ICMP se envían desde el conmutador al servidor de destino en 10.0.0.100 para probar si es accesible a través de la red IP. Las respuestas de eco ICMP se devuelven del servidor, lo que verifica que el conmutador y el servidor estén conectados.